这是一个SQL注入攻击

Question

我开发了一个网站（在asp.net中），它有一个注册页面（没有注册，但它接收人的详细信息），这实际上是一个教育机构的网站，注册表是为那些想要注册组织研讨会的人而设计的。

现在来点，我被检查数据库的登记表（数据库是在MS Access），并发现有类似的数据多行：

//In Residential Address field 
[url=http://paydayloansonline25.com]payday loans online[/url] pay loans direct student loans [url=http://paydayloansonline25.com]get loan online payday[/url] cash fast without bank account http://paydayloansonline25.com small business loans fast cash 

//In Field to store workshop id, for which the person want to register for, the data was 
document.getElementById(varIDCtrlName).value; 

我相信这是一个可能的SQL注入攻击，但不确定，黑客会试图做什么，如果他成功了 - 那么他会收集什么。请再提一提，我该如何处理它。

---

欲了解更多信息：

我还没有加入参数，如

EnableEventValidation="false" ValidateRequest="false" 

在aspx页面的页面指令，以我的猜测是true默认情况下，虽然它是true，帮助这种类型的可能的攻击。 还有一件事值得一提的是，我的OleDbCommand的参数是这样写

cmd.Parameters.AddWithValue("@ResiAddress", strResiAddress); 

Answer 1

也就是说Cross-site scripting

跨站点脚本（XSS）是一种计算机安全的 漏洞通常发现在Web应用程序中。由于违反了 浏览器的安全性，XSS使攻击者能够将客户端脚本 注入到其他用户查看的网页中。

在你的情况下，攻击者正在等你，以显示在您的网页这些领域的一些地方，而且因为它们是HTML/JavaScript中，他们将被显示在攻击者想要的方式浏览器。

Answer 2

这不是SQLi攻击 - 数据中没有SQL命令。

但是document.getElementById(varIDCtrlName).value;，它是有效的javascript代码，所以它看起来像某种脚本攻击。这个javascript是无辜的，但是如果攻击者可以在稍后作为脚本运行的字段中输入数据，那么这是一个严重的安全威胁。